A equipe chinesa de resposta a emergências em redes computacionais, CNCERT, emitiu um alerta sobre os riscos de segurança associados ao uso do OpenClaw (antigo Clawdbot e Moltbot), um agente de inteligência artificial (IA) autônomo, open-source e auto-hospedado.
Em uma publicação no WeChat, o CNCERT destacou que as “configurações de segurança padrão inerentemente frágeis” da plataforma, combinadas ao acesso privilegiado do agente para executar tarefas de forma autônoma, podem ser exploradas por agentes maliciosos para tomar o controle do endpoint.
Entre os riscos identificados está o ataque conhecido como prompt injection, em que instruções maliciosas inseridas em uma página web podem induzir o agente a vazar informações sensíveis ao acessar e processar esse conteúdo.
Esse tipo de ataque também é chamado de indirect prompt injection (IDPI) ou cross-domain prompt injection (XPIA), pois, em vez de atacar diretamente o modelo de linguagem (LLM), os adversários utilizam funcionalidades legítimas da IA, como a sumarização de páginas ou a análise de conteúdo, para executar comandos manipulados.
Essas técnicas podem ser usadas para burlar sistemas de análise de anúncios, influenciar decisões de contratação, realizar SEO poisoning ou induzir respostas tendenciosas ao suprimir avaliações negativas.
Em uma postagem recente, a OpenAI afirmou que ataques baseados em prompt injection vêm evoluindo, incorporando elementos de engenharia social.
“Agentes de IA estão cada vez mais capazes de navegar na web, obter informações e tomar ações em nome do usuário”, destacou a empresa.
“Embora essas capacidades sejam úteis, elas também abrem novas portas para manipulação por parte de atacantes.”
O risco de prompt injection no OpenClaw é real.
Em maio, pesquisadores da PromptArmor demonstraram que o recurso de link preview (pré-visualização de links) em aplicativos como Telegram e Discord pode servir como canal para exfiltração de dados via prompt injection indireta.
A técnica consiste em induzir o agente de IA a gerar uma URL controlada pelo invasor que, ao ser renderizada como prévia no aplicativo, transmite automaticamente dados confidenciais para um domínio malicioso, sem que o usuário precise clicar no link.
A empresa alertou: “Em sistemas agentic com preview de links, a exfiltração pode ocorrer assim que o agente responde, sem qualquer ação do usuário.”
Além do prompt injection, o CNCERT apontou outras três ameaças associadas ao OpenClaw:
1. Possibilidade do agente apagar informações críticas devido a interpretações incorretas de comandos dos usuários.
2. Upload de skills maliciosas em repositórios como o ClawHub, que, quando instaladas, executam comandos arbitrários ou distribuem malware.
3. Exploração de vulnerabilidades recentes no OpenClaw para comprometer o sistema e vazar dados sensíveis.
O CNCERT ressaltou que, em setores críticos como finanças e energia, essas falhas podem resultar no vazamento de dados comerciais, segredos industriais, códigos-fonte ou até paralisar sistemas inteiros, causando prejuízos irreparáveis.
Para mitigar esses riscos, recomenda-se que usuários e organizações reforcem controles de rede, evitem expor a porta padrão de gerenciamento do OpenClaw à internet, isolem o serviço em container, mantenham credenciais protegidas e armazenadas de forma segura, instalem skills apenas de fontes confiáveis, desabilitem atualizações automáticas de skills e atualizem regularmente o agente.
Este alerta surge num momento em que autoridades chinesas proibiram o uso do OpenClaw em computadores de órgãos governamentais e estatais, assim como nas residências de militares, buscando conter as ameaças à segurança, segundo reportou a Bloomberg.
A popularidade do OpenClaw também tem sido explorada por criminosos, que distribuem repositórios maliciosos no GitHub falsamente apresentados como instaladores da ferramenta.
Eles implantam roubadores de informações como Atomic e Vidar Stealer, além do malware proxy GhostSocks, em um esquema que utiliza comandos semelhantes ao ClickFix para instalação.
Segundo a empresa de segurança Huntress, essa campanha não teve foco em um setor específico, mirando usuários que tentavam instalar o OpenClaw nas plataformas Windows e macOS.
“O fator decisivo foi o fato de o malware estar hospedado no GitHub e o repositório malicioso se tornar a sugestão mais votada na busca por OpenClaw no Bing AI,” explicou.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...